メール送信により起こる情報漏洩のパターンと予防方法

情報漏洩はメールによって発生する例も多いです。
単純なミスに基づくものであったり、少し対策を取っていれば防げたりするものが多いのですが、馴染みのあるツールであることからその取扱いを軽視されている方も多いのではないでしょうか。
この記事では、改めて“メール送信”という日常的に行う作業に隠れる情報漏洩のリスクについて言及し、具体的な情報漏洩発生パターンと、その予防方法を解説していきます。

目次

メール送信により情報漏洩が起こるパターン

メールの送信に伴い情報漏洩が起こるのは、主に以下のようなパターンです。

  1. メールの送り先を間違えた
  2. To/Cc/Bccが適切に使えていなかった
  3. 添付したファイルが送るべきものではなかった
  4. ウイルスに感染していたため意図しない動作が起こった

各パターンの詳細を説明していきます。

メールの誤送信

単純なミスではありますが、最も起こりやすい情報漏洩のパターンが「メールの誤送信」です。
本来送るべき相手ではない人物・企業に対し、メールを送ってしまうというミスです。

メールの内容によっては何ら問題が生じないこともありますが、業務上重要な情報、企業の機密情報が含まれている場合もあります。

To/Cc/Bccのミス

メールを複数のアドレスに対して同時に送信する際、「To」や「Cc」、「Bcc」などを使い分けなければなりません。

送信区分説明
To1対1のやり取りで使用
Ccカーボンコピーの略
複数のメールアドレスに同時送信するときに使用、社内のメンバーに送るときや、情報共有をしたいときなどに使う、Ccによりメールを受信した人は他の人のメールアドレスも見ることができる
Bccブラインドカーボンコピーの略
複数のメールアドレスに同時送信するときに使用、受信した人は他の人のメールアドレスを知ることはできないため顧客への一斉送信の場面などで使える

例えばメルマガを送信するとき、顧客に対してBccで送らずToやCcで送ってしまうと、受信した人が、他に一斉送信された人たちのメールアドレスを見ることができてしまいます。
ちょっとしたメールの取扱いのミスですが、このミスによって大量の情報漏洩が起こってしまいます。

添付ファイルの誤り

添付したファイルが間違っており、本来送るべき相手方ではない人物・企業に重要な情報が記載されているファイルを送ってしまうというミスが起こることもあります。

誤送信と類似するミスと言えますが、メールの文面の送り先を間違えるケースに比べて、大きな損害に繋がりやすいとも考えられます。
わざわざ書面に値するものを作成したという背景から契約書などの証憑である可能性が高くなりますし、ファイル添付のないメールに比べて情報量が多くなりやすいためです。

ウイルス感染による異常動作

使用している端末、あるいはシステム等がウイルスに感染していると、意図しない動作として自社の重要なデータが送信されてしまう可能性があります。

また、ウイルスメールが勝手に送信されてしまい、取引先や顧客等にさらに被害を拡大してしまうおそれもあります。

メールによる情報漏洩を予防する方法

メールの取扱いを原因とする情報漏洩を防ぐ上では、特別なセキュリティシステムや技術を使用する以前に、社内教育の実施が重要です。

例えばCcとBccの違いが理解できていなければ、情報漏洩をしていることに気が付かずいつまでも同じ行為を繰り返してしまうおそれがあります。
そのため少なくとも従業員にはTo/Cc/Bccの知識を持ってもらい、確実な使い分けができるようになってもらう必要があります。

また、これらメール送信の区分を理解していたとしても少しの操作ミスでCcによる送信をしてしまう可能性は否めません。
そこで操作ミスが起こることを前提としたチェック機能の備え付け、あるいは二重チェックの仕組みを設けるようにしましょう。
二重チェックといっても常にメール作成者と別の人を用意する必要はなく、少し時間を置いて作成者が確認をするだけで気が付くケースも多いため、メールを送信する前にはいったん時間を置いてチェックをするようルールを整備するのも有効です。

システム上で、基本的にCcが選択できないようにしておくなどの手段も取り得るでしょう。

情報漏洩によるリスクを従業員に認識してもらうということも大切です。
情報漏洩が起こることで自社や取引先等にどのような被害が生じるのか、そして故意による情報漏洩など悪質な場合には従業員個人にも責任追及が起こり得ることなどを説明し、セキュリティに対する意識を高めるよう努めましょう。

添付ファイル誤りに関しては、重要なファイルを暗号化しておくことで情報漏洩の予防とすることが可能です。
こうすることで受診した人がファイルを閲覧することができませんので、誤送信したとしても大きな問題に発展せずに済みます。

また、事業者は個人情報保護法に準拠しなければなりません。メールからの情報漏洩予防のみならず、同法に従った取り組みも進めましょう。
個人情報保護法についてはこちらの記事でも解説しています。

情報漏洩後の対応も重要

情報漏洩をいかに防ぐか」はとても大切なことです。
しかし「情報漏洩が起こってしまったとき、どのように対応するのか」ということはそれ以上に大切なことと言われています。
人為的なミスを完璧になくすことは困難ですし、サイバー攻撃も日々進化しているからです。

そこで昨今では事後対応に注目が集まっています。
情報漏洩後の被害拡大を迅速に防ぐ仕組み・体制を構築し、再発防止策の検討なども進めていく姿勢を持ちましょう。